Nhóm hacker Triều Tiên tấn công các công ty tiền điện tử và Web3 bằng chiến dịch mã độc NimDoor tinh vi.
Chiến dịch này sử dụng phương pháp social kỹ thuật và mã hóa phức tạp nhằm xâm nhập hệ thống Mac để đánh cắp dữ liệu nhạy cảm và kiểm soát thiết bị dài hạn.
- Hacker tạo các trang giả mạo cập nhật Zoom để lừa người dùng tải mã độc.
- Mã độc NimDoor đánh cắp mật khẩu, dữ liệu trình duyệt và tin nhắn Telegram mã hóa.
- Chiến thuật lưu giữ quyền truy cập lâu dài, chống gỡ bỏ bằng cách tự tái cài đặt trên máy Mac.
Hacker Triều Tiên sử dụng cách thức nào để tấn công mục tiêu tiền điện tử và Web3?
Sát thủ mã độc NimDoor được phát hiện bởi SentinelLabs là một chiến dịch tấn công có tổ chức, bắt đầu qua kênh Telegram và thủ đoạn giả mạo cập nhật phần mềm Zoom để lừa người dùng Mac. Các hacker tạo các tên miền giả gần giống với URL Zoom thật nhằm đánh lừa người nhận email tải xuống tập tin cập nhật giả mạo.
SentinelLabs ghi nhận các tên miền giả mạo như support.us05web-zoom.forum và support.us05web-zoom.cloud được tạo lên với hàng nghìn dòng mã vô nghĩa nhằm ngụy trang mã độc chứa ba dòng mã tấn công thực sự, giúp tải về các mô-đun độc hại từ máy chủ hacker. Chiến thuật này không chỉ tấn công vào cá nhân mà còn nhắm vào nhiều mục tiêu với tên miền tùy chỉnh riêng biệt.
Phương thức giả mạo cập nhật Zoom được thực hiện ra sao?
Kẻ tấn công giả danh người quen qua Telegram, sau đó dụ người dùng lên lịch qua Calendly tổ chức cuộc họp với các liên kết giả mạo Zoom. Email mời tải bản cập nhật phần mềm thực chất chứa mã độc được thiết kế giống như tệp hỗ trợ của Zoom nhưng tồn tại lỗi chính tả như “Zook SDK Update”. Đây là dấu hiệu giúp chuyên gia bảo mật phát hiện và theo dõi chiến dịch.
Chiến dịch NimDoor thể hiện kỹ thuật tinh vi khi ngụy trang mã độc bên trong tập tin cập nhật phần mềm hợp pháp, lừa người dùng nghĩ rằng họ đang thực hiện cập nhật Zoom bình thường.
Trích dẫn từ Báo cáo của SentinelLabs, 2024
Mã độc NimDoor đánh cắp những loại thông tin nào?
NimDoor được thiết kế chuyên sâu để lấy cắp mật khẩu lưu trên nhiều trình duyệt phổ biến như Google Chrome, Firefox, Microsoft Edge, Brave, Arc cùng các thông tin đăng nhập và lịch sử duyệt web. Bên cạnh đó, NimDoor còn sao chép mật khẩu hệ thống lưu trên Mac và các tập tin lịch sử lệnh chạy chương trình.
Đặc biệt, mã độc có thành phần tập trung đánh cắp dữ liệu Telegram, bao gồm các cơ sở dữ liệu trò chuyện mã hóa và khóa giải mã, giúp hacker truy cập các hội thoại riêng tư ngoại tuyến. Dữ liệu bị đánh cắp được đóng gói và gửi tới máy chủ do hacker kiểm soát thông qua kết nối mã hóa, đảm bảo tính bí mật trong quá trình truyền tải.
NimDoor vận dụng ngôn ngữ lập trình tiên tiến như Nim và C++ để né tránh các chương trình bảo mật, đồng thời sử dụng tên tệp và vị trí giả dạng hợp pháp nhằm duy trì quyền truy cập lâu dài.
Phân tích kỹ thuật bởi SentinelLabs, cập nhật tháng 6/2024
Chiến thuật nào giúp NimDoor duy trì khả năng tồn tại trên máy Mac?
Mã độc sử dụng kỹ thuật tái cài đặt tự động khi bị người dùng hoặc phần mềm bảo mật phát hiện và gỡ, bằng cách sao lưu bản sao vào các thư mục ẩn mang tên giả mạo các dịch vụ Google với lỗi chính tả nhỏ. Các tệp này được cấp quyền tự động khởi động cùng hệ thống, đảm bảo NimDoor hoạt động liên tục sau mỗi lần khởi động lại.
Bên cạnh đó, một chương trình giám sát nhẹ giao tiếp định kỳ 30 giây với máy chủ hacker, báo cáo trạng thái và đón nhận lệnh mới qua lưu lượng web mã hóa, rất khó bị phát hiện. Mã độc còn trì hoãn 10 phút trước khi kích hoạt đầy đủ, giúp tránh bị các phần mềm quét hành vi nghi vấn phát hiện ngay lập tức.
Tại sao chiến thuật persistence của NimDoor khiến việc gỡ bỏ trở nên khó khăn?
Người dùng phổ thông thường không thể hoàn toàn loại bỏ NimDoor do nó tự động tái tạo khi bị xóa. Việc dọn sạch hệ thống thường đòi hỏi sự can thiệp của các công cụ bảo mật chuyên sâu hoặc hỗ trợ kỹ thuật chuyên nghiệp, hứa hẹn độ an toàn cho các tổ chức và cá nhân trong không gian tiền điện tử khi đã bị nhiễm.
Những câu hỏi thường gặp
- Mã độc NimDoor được phát hiện bởi đơn vị nào?
- Chiến dịch NimDoor được SentinelLabs phát hiện và mô tả chi tiết vào năm 2024 với nhiều phân tích kỹ thuật sâu sắc.
- Hacker sử dụng kênh nào để lừa người dùng tải mã độc?
- Hacker giả danh người quen qua Telegram, sau đó gửi email mời tải file cập nhật Zoom giả mạo chứa mã độc.
- Mã độc NimDoor đánh cắp thông tin gì từ máy nạn nhân?
- NimDoor lấy mật khẩu trình duyệt, dữ liệu đăng nhập, lịch sử duyệt web, mật khẩu hệ thống Mac và dữ liệu trò chuyện Telegram.
- Vì sao NimDoor khó bị xoá khỏi máy tính?
- NimDoor tự động sao lưu và tái cài trên các thư mục ẩn với tên giả mạo, hoạt động như trình giám sát liên tục nên khó loại bỏ.
- Làm sao để phòng tránh tấn công NimDoor hiệu quả?
- Người dùng cần cảnh giác với email và liên kết cập nhật phần mềm lạ, sử dụng phần mềm bảo mật cập nhật và chú ý lỗi chính tả bất thường trên file tải xuống.
